9 июля, 2008

О тайне внутрибанковской информации

При определении обязательств работников банка о неразглашении информации (не государственной тайны), обычно считается допустимым учитывать лишь виды тайны и конфиденциальных сведений, явно поименованные в законах, прежде всего банковскую тайну, коммерческую тайну, персональные данные. При этом игнорируется важный для банка вид охраняемой законом тайны, не имеющей пока столь же привычного названия. Речь идет о возлагаемой согласно ч. 1 ст. 26 Федерального закона РФ "О банках и банковской деятельности" на всех служащих кредитной организации обязанности хранить, помимо тайны об операциях, счетах и вкладах клиентов и корреспондентов, также тайну об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону. В данной работе для точного упоминания этих "иных сведений" выбран термин "устанавливаемые сведения кредитной организации" (УСКО). В работе рассматриваются (без претензии на бесспорность) касающиеся тайны УСКО положения законов, соотношение между понятием УСКО и используемым в ряде документов Банка России понятием "внутренняя банковская информация" ("внутрибанковская информация", далее - ВБИ), целесообразность того, чтобы сведения, относимые к ВБИ, устанавливались банком в качестве УСКО, необходимые для этого меры, ряд других практических моментов.

 

1. Определения понятия банковская тайна

На данный момент, в действующем законодательстве РФ основные положения, определяющие понятие банковской тайны, содержатся в ст. 857 ГК РФ и в ст. 26 Закона "О банках и банковской деятельности". Соответствующие формулировки не идентичны. В цитируемом ниже тексте соответствующих положений законов выделены отличающиеся места близких по смыслу формулировок.

1.1. Пункт 1 ст. 857 "Банковская тайна" ГК РФ (Часть вторая, от 26.01.1996 № 14-ФЗ):

"Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте."

1.2. Первый абзац статьи 26 "Банковская тайна" Федерального закона РФ "О банках и банковской деятельности" (от 12.02.1990 №395-1; далее, для краткости - Закон "О банках..."):

"Кредитная организация, Банк России, организация, осуществляющая функции по обязательному страхованию вкладов, гарантируют тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов. Все служащие кредитной организации обязаны хранить тайну об операциях, счетах и вкладах ее клиентов и корреспондентов, а также об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону."

2. Охраняемая законом тайна, связанная с банковской тайной

Желательно обратить внимание на то, что цитируемые положения законов содержат определения не одного, а нескольких различающихся понятий охраняемой законом тайны, связанных с деятельностью банка или иной кредитной организации.

Чтобы пояснить эти различия, ниже перечислены отдельные классы сведений, относимые процитированными положениями законов к охраняемой тайне, и этим классам сведений даны рабочие названия и обозначения.

2.1. Сведения об операциях, счетах, вкладах (СОСВ)

Пункт 1 ст. 857 ГК РФ обязывает банк гарантировать, в частности, тайну банковского счета и банковского вклада, операций по счету; первое предложение первого абзаца ст. 26 Закона "О банках..." возлагает на кредитную организацию обязанность гарантировать тайну об операциях, о счетах и вкладах своих клиентов и корреспондентов; второе предложение обязывает хранить эту тайну (а также иную тайну, см. ниже, п. 2.3) всех служащих кредитной организации.

2.2. Сведения о клиенте банка (СКЛБ)

Пункт 1 ст. 857 ГК РФ обязывает банк гарантировать, помимо тайны банковского счета и банковского вклада, операций по счету, также тайну сведений о клиенте.

2.3. "Устанавливаемые сведения кредитной организации" (УСКО)

2.3.1. Второе предложение первого абзаца ст. 26 Закона "О банках..." обязывает всех служащих кредитной организации, помимо тайны о СОСВ, также "... хранить тайну ... об иных сведениях, устанавливаемых кредитной организацией, если это не противоречит федеральному закону".

Для упоминания соответствующих "иных сведений" на сегодня не существует общепринятого термина, однозначно понятного без пояснений.

В данной работе для их упоминания введем специальный термин "устанавливаемые сведения кредитной организации" (УСКО) со следующим определением: Устанавливаемые кредитной организацией в соответствии с абзацем первым статьи 26 Федерального закона РФ "О банках и банковской деятельности" (от 12.02.1990 №395-1) сведения, тайну о которых обязаны хранить служащие кредитной организации.

Термин УСКО является техническим, при необходимости использования данного понятия в различных документах, можно дать ему иное подходящее по смыслу имя. При этом, смысл понятия полностью сохранится, если предусматривать в документах для такого имени (термина) явное, "самодостаточное" определение, аналогичное приведенному выше.

2.3.2. В ряде документов Банка России для близкого по смыслу понятия используются термины "внутренняя банковская информация" или "внутрибанковская информация" (далее - ВБИ). Введенному понятию умышленно дано здесь другое имя, чтобы облегчить ниже (в разделе 6) сравнение понятий УСКО и ВБИ. Забегая вперед, отметим, что эти понятия существенно различаются. Однако, путем принятия ряда мер, поясняемых ниже, кредитная организация может установить для своих служащих сведения, относимые к ВБИ, таким способом, при котором эти сведения будут составлять УСКО, то есть, охраняемую законом тайну. Принятие соответствующих мер представляется целесообразным, и если они приняты, то использование в документах кредитной организации отдельного термина УСКО будет излишним, соответствующие сведения будут с достаточной определенностью характеризоваться термином "внутрибанковская информация".

3. Соотношение между тайной УСКО и банковской тайной

Подчеркнем, что "устанавливаемые сведения кредитной организации" в определенном выше смысле - это сведения, составляющие охраняемую законом тайну. Но они не обязательно составляют банковскую тайну.

Не претендуя на систематический анализ вопроса о соотношении понятий банковской тайны и УСКО, отметим лишь некоторые моменты.

3.1. С учетом положений ст. 857 ГК РФ, существенным аспектом понятия банковской тайны является то, что ее "обладателями" или "субъектами" (теми, чья или о ком тайна) являются клиенты банка, а обязанность гарантировать тайну возложена на банк. В этом плане, тайна УСКО принципиально отличается от данного понятия банковской тайны: кредитная организация - это "обладатель", а не "гарант" УСКО, хранить же (а не гарантировать) тайну УСКО закон обязывает не саму организацию, а ее служащего.

3.2. Ст. 26 Закона "О банках..." предоставляет кредитной организации максимально широкие возможности устанавливать для своих служащих любые сведения в качестве УСКО, это не допускается лишь в тех случаях, если это противоречит федеральному закону.

(Точнее, из того, что в формулировке абзаца первого ст. 26 Закона "О банках..." слово "это" относимо и к слову "устанавливаемых", и к слову "хранить", можно сделать вывод, что данное положение закона обязывает служащих хранить тайну, лишь если это хранение тайны не противоречит федеральному закону, даже если установление кредитной организацией в качестве тайны соответствующих сведений закону не противоречит.)

По данной причине возможно, в частности, любое из следующего:

- Часть установленных банком УСКО могут составлять в то же время и банковскую тайну. Определенно, в качестве УСКО могут быть установлены "сведения о клиенте банка" (СКЛБ), касающиеся клиентов - физических лиц, юридических лиц, предпринимателей без образования юридического лица.

- Часть установленных банком УСКО могут одновременно с этим составлять и иные виды охраняемой законом тайны или конфиденциальных сведений, в частности, коммерческую тайну, персональные данные.

- Часть сведений, установленных банком в качестве УСКО, могут не составлять банковскую тайну в смысле ст. 857 ГК РФ (как, например, закрытые ключи защиты сообщений, направляемых банком клиентам), но их разглашение может создавать угрозу разглашения банковской тайны, иного нарушения закона, правомерных обязательств или законных интересов банка, его информационной и экономической безопасности.

3.3. Хотя, как отмечено выше в данном разделе, понятие тайны УСКО существенно отличается от понятия банковской тайны, есть основания рассматривать обязанность служащего кредитной организации хранить тайну УСКО как составную часть его обязанности хранить банковскую тайну.

Формальным основанием является то, что так озаглавлена ст. 26 Закона "О банках...", обязывающая хранить тайну об УСКО. Чтобы пояснить содержательное основание, обратим внимание не на состав сведений, относимых к банковской тайне, а на понятия их разглашения и его последствий. Разглашение УСКО может способствовать разглашению сведений, составляющих банковскую тайну, даже по существу, "технически" являться одной из форм их разглашения, и приводить к аналогичным негативным последствиям.

4. Необходимо ли банку устанавливать для своих работников УСКО

На первый взгляд, рассмотренное выше в п.1.2 положение ч. 1 ст. 26 Закона "О банках...", предоставляя банку максимальную свободу устанавливать по своему усмотрению сведения, составляющие для его служащих УСКО, оставляет ему свободу и в том, чтобы не устанавливать такие сведения. Есть основания сомневаться, что последнее верно.

Закон обязывает кредитную организацию гарантировать банковскую тайну. На практике это возможно лишь при условии надежного хранения всеми служащими кредитной организации тайны о разнообразных устанавливаемых сведениях, в том числе не являющихся банковской тайной (например, о методах и средствах защиты информации, уязвимостях и т. п.). То, что Закон предоставляет кредитной организации отсутствующее у обычных, не кредитных коммерческих организаций право самой устанавливать для своих служащих сведения, тайну о которых те обязаны хранить как охраняемую законом тайну, указывает на принципиальную важность данного права.

С этой точки зрения, неиспользование рассматриваемого, предусмотренного законом права банком может давать основание для суждений о недостаточных осмотрительности и добросовестности в критически важном аспекте деятельности банка.

5. Некоторые практические вопросы организации охраны тайны УСКО

5.1. Необходимо официально установить УСКО в банке

5.1.1. Поскольку Закон не определяет какие-либо конкретные сведения, составляющие УСКО, а предусматривает лишь, что данные сведения устанавливаются кредитной организацией, необходимым условием наступления правовых последствий установления УСКО как охраняемой законом тайны является включение во внутренние нормативные документы банка положений, позволяющих однозначно определять то, какие виды сведений и конкретные сведения должны рассматриваться в качестве УСКО, а какие не должны.

В Законе "О банках..." не предусмотрены какие-либо требования к способам отражения во внутренних документах кредитной организации положений, которыми эта организация "устанавливает" те или иные сведения в качестве УСКО. Теоретически, эти способы могут быть различными, при условии, что они не противоречат федеральному закону и соответствующие сведения определяются однозначным образом.

В то же время, есть причина для того, чтобы в рамках мероприятий мероприятий по "установлению" банком тех или иных сведений в качестве УСКО, помимо разного рода общих положений, пояснений, правил для определения состава этих сведений, оформлять и утверждать перечень соответствующих сведений (или несколько перечней).

Различные виды сведений, тайну или конфиденциальность которых обязаны хранить служащие банка, относятся к существенно различающимся классам или категориям, по правовым основаниям и особенностям режима их конфиденциальности, а также по степени важности или ценности соответствующей информации (характеру и тяжести последствий разглашения). Наличие в банке перечня сведений для каждого такого класса сведений, в том числе для сведений, установленных в качестве УСКО, необходимо для однозначного отнесения сведений к тому или иному классу или категории.

5.1.2. Важный момент состоит в том, что во внутренних нормативных документах банка, в которых те или иные виды сведений, составляющих УСКО, устанавливаются в качестве таковых, (в частности, в перечне этих сведений или в соответствующих разделах сводного перечня) должно быть явно указано, что данные сведения, тайну о которых обязаны хранить все служащие кредитной организации, устанавливаются банком для его служащих (работников) в соответствии с абзацем первым статьи 26 Федерального закона РФ "О банках и банковской деятельности".

5.2. Отражение в трудовом договоре обязательства о неразглашении УСКО

5.2.1. Поскольку обязанность хранить тайну УСКО предусмотрена Законом в отношении служащих кредитной организации, наличие трудовых отношений между банком и его работником является необходимым условием возложения на работника данной обязанности, и письменное обязательство работника о неразглашении охраняемой законом тайны УСКО должно быть предусмотрено в трудовом договоре работника банка (или в дополняющем текст трудового договора отдельном документе - "Обязательстве о неразглашении" и т. п.). В силу рассмотренного выше положения ч. 1 ст. 26 Закона "О банках...", отказ принять на себя обязательство хранить банковскую тайну и тайну УСКО исключает для отказавшегося возможность быть служащим банка.

5.2.2. Поскольку тайна УСКО является охраняемой законом тайной (это подробно рассмотрено выше), включение соответствующего обязательства в трудовой договор не противоречит Трудовому кодексу РФ (от 30.12.2001 №197-ФЗ), согласно части четвертой статьи 57 которого, "В трудовом договоре могут предусматриваться дополнительные условия, ... в частности: ... о неразглашении охраняемой законом тайны (государственной, служебной, коммерческой и иной); ...".

5.2.3. Поскольку УСКО, составляющие охраняемую законом тайну, устанавливаются во внутренних документах банка, без ознакомления работника с соответствующими внутренними документами обязательство работника о неразглашении УСКО формально будет лишено конкретного содержания, что может повлечь недоразумения. Поэтому, в трудовом договоре формулировка письменного подтверждения работником обязательства о неразглашении должна включать в себя наименование внутренних документов банка, содержащеих определение сведений, не подлежащих разглашению работниками банка, включая определение и перечни сведений УСКО, а также письменное подтверждение работником того, что он ознакомлен с соответствующими внутренними документами банка.

5.3. Обязательство о неразглашении УСКО должно действовать бессрочно

Ни в ст. 857 ГК РФ, ни в ст. 26 Закона "О банках..." не предусмотрены какие-либо сроки, будь то 3 года, 5, 10, 20, 100 лет, по истечении которых банковская тайна или тайна УСКО автоматически переставали бы быть тайной. По этой причине некорректно включать в трудовые договоры работников банка, в их обязательства о неразглашении банковской тайны какой-либо единый фиксированный срок действия этих обязательств о неразглашении.

Сказанное относится также к коммерческой тайне и к требованиям об обеспечении конфиденциальности персональных данных.

Разумеется, для отдельных конкретных видов сведений срок или условия прекращения действия обязательства о неразглашении могут быть предусмотрены.

6. Сравнение понятий УСКО и внутрибанковской информации

6.1. В ряде документов Банка России используется близкое к понятию УСКО понятие "внутренняя банковская информация" или "внутрибанковская информация" (далее - ВБИ). Соответствующие документы Банка России являются рекомендательными, подразумеваемый в них смысл термина ВБИ не претендует на строгость и может быть со временем уточнен или изменен в других документах.

Тем не менее, формулировки в этих документах позволяют сравнить сложившуюся практику использования понятия ВБИ с рассматриваемым здесь понятием УСКО, чтобы выяснить, корректно ли использовать "привычно звучащий" термин ВБИ для упоминания сведений УСКО, и при каких условиях. Как представляется, приводимые ниже цитаты из документов Банка России дают основания считать, что на сегодня это корректно - при условии, что сведения, относимые к ВБИ, установлены банком в качестве УСКО.

6.2. Пример краткого упоминания ВБИ без пояснений: В п.3.8 Приложения к Письму Банка России от 31.03.2008 №36-Т упоминается "принятие мер по соблюдению конфиденциальности клиентской и другой внутрибанковской информации, а также банковской тайны".

6.3. Относительно подробно понятие "внутренняя банковская информация" охарактеризовано п. 8.2.9.2 Стандарта Банка России СТО БР ИББС-1.0-2006 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Общие положения", где предусмотрено, что в организации банковской системы (БС) РФ

"... неплатежная информация классифицируется как:

- открытая информация, предназначенная для официальной передачи во внешние организации и средства массовой информации;

- внутренняя банковская информация, предназначенная для использования исключительно сотрудниками организации БС РФ при выполнении ими своих служебных обязанностей;

- информация, содержащая сведения ограниченного распространения в соответствии с утвержденным организацией БС РФ Перечнем, подлежащая защите в соответствии с законодательством РФ, например, банковская тайна, персональные данные;

- информация, полученная из федеральных органов исполнительной власти и содержащая сведения ограниченного распространения;

- информация, содержащая сведения, составляющие государственную тайну."

6.4. Согласно данной классификации, ВБИ не относится ни к открытой информации, ни к подлежащей защите в соответствии с законодательством РФ. Как представляется, это не противоречит тому, чтобы сведения, составляющие ВБИ, были установлены банком в качестве УСКО. Из того, что тайна об УСКО является охраняемой законом тайной, не следует автоматически, что любая информация, содержащая УСКО, подлежит защите в соответствии с законодательством РФ. Как отмечено выше в п.3.1, обязательство хранить тайну об УСКО закон возлагает не на организацию, а на ее служащего.

6.5. В практическом плане, для обеспечения возможности охраны ВБИ как УСКО необходимо уточнение понятия ВБИ непосредственно при его использовании в документах банка (с помощью "самодостаточных" определений, как пояснено выше в п.2.3), а также установление соответствующих сведений в качестве УСКО (см. п.5.1). Преимущество такого подхода - то, что в отличие от юридически неясной категории ВБИ, УСКО - это охраняемая законом тайна в силу конкретных рассмотренных выше оснований.

Как уже было отмечено выше (см. п. 2.3.2), при таком подходе использование в документах кредитной организации отдельного термина УСКО будет излишним, и соответствующие сведения будут с достаточной определенностью характеризоваться термином внутрибанковская (внутренняя банковская) информация.